Industrial Security per la riduzione del rischio

L’Industrial Security è versatile e può essere utilizzata a più livelli. Nell’OT e in produzione, il principio di Industrial Security consente innanzitutto di proteggere le macchine dai pericoli provocati dall’uomo. Tale principio mette a riparo le macchine da pericoli quali attacchi informatici o manipolazioni.

Ma come si fa a individuare potenziali rischi o possibili intrusioni?

Il primo strumento da scegliere per esaminare la produzione in relazione all’Industrial Security è eseguire una valutazione del rischio. Essa valuta i pericoli e i rischi del “cyberspazio” a cui è esposta una macchina e le misure da adottare per poterli ridurre al minimo.

La valutazione del rischio di security deve sempre essere composta dalle seguenti fasi:

1. Identificazione degli asset: cosa voglio proteggere?
2. Analisi delle minacce: quali sono i rischi per il bene da proteggere?
3. Determinazione di obiettivi di protezione rilevanti: quali obiettivi voglio raggiungere?
4. Analisi e valutazione dei rischi: qual è la probabilità di insorgenza per un rischio?
5. Analisi di vettori d’attacco
6. Creazione e implementazione del concept di Security
7. Verifica dell’implementazione
8. Rivalutazioni periodiche
9. Scelta e implementazione di misure di protezione: come posso realizzare una protezione contro un eventuale rischio?
10. Gestione della resilienza: cosa bisogna fare in caso di un attacco? Come posso radicare meglio la security nell’azienda?

I Security Level definiscono il livello di sicurezza che costruttori o gestori dell’impianto vogliono raggiungere mediante le misure di sicurezza. Ulteriori informazioni vengono fornite da una valutazione del rischio eseguita on-site durante la quale viene definito il bene da proteggere e viene determinata la probabilità di attacco. In base a questi fattori viene scelto il Security Level (SL). SL-2, ossia protezione da “manipolazione/minaccia volontaria con mezzi semplici, poche risorse, capacità normali e senza motivazione speciale”, al giorno d’oggi questo livello dovrebbe essere considerato come standard minimo. Per mantenere tale standard minimo, l’azienda deve avere un determinato grado di maturità in termini di Security. Il miglior firewall risulta inutile se i dipendenti di un’azienda continuano ad annotare le password su post-it attaccati allo schermo del PC o non eseguono aggiornamenti. Più un’azienda si occupa di Security e maggiore sarà il livello di protezione globale. È pertanto importante avere un approccio totale alla Security.

I Security Level in breve:

• Security Level 1: protezione contro la violazione semplice o casuale
• Security Level 2: protezione contro la violazione intenzionale utilizzando mezzi semplici
• Security Level 3: protezione contro la violazione intenzionale utilizzando mezzi sofisticati
• Security Level 4: protezione contro la violazione intenzionale utilizzando mezzi sofisticati e risorse estese

Per proteggere in modo mirato e specifico una macchina, è indispensabile effettuare un Security Risk Assessment dettagliato. Anche misure generiche possono tuttavia incrementare la security. Qualsiasi misura è meglio rispetto a non averne alcuna. Le seguenti strategie ti offrono supporto nell’implementare la security all’interno dell’impresa:

1. Defense in depth: questo approccio si basa sul principio che prevede di creare o frapporre barriere e ostacoli sempre nuovi e diversi per impedire agli hacker di raggiungere il proprio obiettivo. Il punto fondamentale consiste nel creare più ostacoli possibili sui più svariati livelli in quanto qualsiasi misura singola può essere certamente superata. Una parte importate di questo approccio è quello di tenere sempre in considerazione anche il fattore umano.

2. Misure organizzative: è anche importante che tutti i dipendenti di un’azienda siano consapevoli dell’importanza del fattore Security. Si raccomanda di redigere linee guida che devono essere rispettate dai dipendenti e dai partner, come ad esempio subfornitori e fornitori di servizi. Poiché fidarsi è bene, ma controllare è meglio, il responsabile della Security dovrebbe controllare ed eventualmente supportare l’osservanza di tali linee guida.

3. Corsi di formazione: non tutti sono esperti di Security, è quindi necessario che i dipendenti partecipino regolarmente a corsi di formazione in materia. I seminari di Pilz, che vengono organizzati sia presso la casa madre a Ostfildern, Stoccarda, sia presso i clienti, o proposti come seminari web, si rivolgono ai costruttori dei macchinari e ai progettisti degli impianti, ma anche agli operatori.

4. Segmentazione “Zones and Conduits”: zone con dispositivi che hanno requisiti simili di Security dovrebbero essere isolate con firewall o router sicuri. In questo modo è possibile garantire che soltanto i dispositivi effettivamente autorizzati provvedano alla trasmissione e ricezione attraverso i condotti (conduit) tra le varie zone. Quindi, ad es., la protezione dei dispositivi di safety in una zona specifica può rivelarsi particolarmente impegnativa senza che ciò possa pregiudicare l'operatività standard.  

5. Firewalls: Sebbene router e switch siano in grado di supportare meccanismi di sicurezza, ci si dovrebbe affidare anche a firewall per la propria rete di controllo. L’Application Firewall SecurityBridge protegge la tecnica di controllo sicura di macchine e impianti, ad esempio, dalla manipolazione di dati di processo.

6. Patch management: i patch sono di particolare importanza quando nel software utilizzato vengono riconosciute vulnerabilità in termini di sicurezza. In questo caso si tratta di software applicativo ed Embedded Software. Si devono considerare patch e aggiornamenti rilasciati dal costruttore, così come software di terzi (es. applicazioni per ufficio, PDF reader). Un processo di patch contribuisce a definire competenze e procedure.

Quando si tratta di Industrial Security, il punto di riferimento è la norma IEC 62443 che presenta una serie di requisiti fondamentali, i cosiddetti “Foundational requirements”, che descrivono in modo astratto metodi tecnici per incrementare la sicurezza dal punto di vista della Security:

Identification and Access Control (IAC)

Verifica che i dispositivi e le informazioni che essi possiedono possano essere consultati e modificati unicamente da entità legittime dotate delle autorizzazioni richieste. Tali autorizzazioni sono necessarie per garantire la sicura operatività dell’impianto o del dispositivo come pure il funzionamento dell’IACS (Industrial Automation and Control System).

Use Control (UC)

Questo controllo dell’utilizzo (UC) assicura che soltanto le entità autorizzate possano utilizzare i dispositivi e/o le informazioni per eseguire attività valide e necessarie che sono essenziali per la sicurezza e la produttività dell’impianto o dell’attrezzatura. Si tratta dunque delle autorizzazioni. In questo caso dovrebbe essere rispettato il principio del “Privilegio minimo”.

System Integrity (SI)

Questo requisito fondamentale fa sì che nessuna modifica non autorizzata ai dati possa essere eseguita nei canali di comunicazione e pertanto si disponga di dati sempre corretti. I valori visualizzati devono ad esempio corrispondere ai valori effettivi e non devono essere stati manipolati. 

Data Confidentiality (DC)

Tutti i dati contenuti all’interno di una macchina devono restare riservati e non devono poter essere visualizzati da persone esterne o persone all’interno dell’azienda non autorizzate.

Restricted Data Flow

Questo requisito fondamentale garantisce che i dati fluiscano solo in aree in cui essi sono effettivamente richiesti. In questo modo si limitano le possibilità di manipolazione o di visualizzazione non autorizzata dei dati. Ciò significa che l’architettura di sistema deve essere configurata in modo tale che il sistema possa essere suddiviso in zone e condotti con livelli di sicurezza adeguati. L’utilizzo di dispositivi come un gateway unidirezionale o un diodo dati può risultare utile in questo contesto.

Timely Response to Events

È importante garantire che lo IACS fornisca le funzionalità richieste per rispondere a violazioni di sicurezza, tra cui la notifica all’autorità competente, la documentazione di prove per la violazione e la tempestiva esecuzione di misure correttive all’identificazione di tale evento.

Resource Availability

Si deve garantire che il design e il funzionamento dello IACS sia configurato in modo tale che non si verifichino situazioni in cui un impianto non possa più essere controllato o, nel peggiore dei casi, non possa più commutare in uno stato sicuro. Ciò significa che in caso di un attacco Denial of Service, non deve poter essere impedita la sicurezza di commutare l’impianto in uno stato sicuro o soddisfarne la funzione di protezione.

Per ciascun requisito fondamentale sono definiti ulteriori requisiti di sistema in base ai quali possono essere implementate misure di security che diventano più ampie a seconda del livello di sicurezza tecnica che si intende raggiungere.